Banco sudafricano reemplazará millones de tarjetas porque empleados robaron clave maestra
Postbank, la división bancaria de la oficina de correos de Sudáfrica, ha perdido más de $3.2 millones por transacciones fraudulentas. Ahora tendrá que reemplazar más de 12 millones de tarjetas para sus clientes después de que los empleados imprimieron y luego robaron su clave maestra.
El Sunday Times de Sudáfrica, el medio de comunicación local que dio a conocer la historia, dijo que el incidente tuvo lugar en diciembre de 2018. Esto cuando alguien imprimió la llave maestra del banco en un papel en su antiguo centro de datos en la ciudad de Pretoria.
El banco sospecha que los empleados están detrás de la violación. Esto, según lo informado en la nota publicada; ellos citaron una auditoría interna de seguridad que obtuvieron de una fuente en el banco.
La clave maestra es un código de 36 dígitos (clave de cifrado) que permite a su titular descifrar las operaciones del banco. También permite acceder y modificar los sistemas bancarios. Asimismo, se utiliza para generar claves para tarjetas de clientes.
El informe interno afirma que entre marzo y diciembre de 2019, los empleados deshonestos usaron la clave maestra para acceder a las cuentas. También realizaron más de 25,000 transacciones fraudulentas, robando más de $ 3.2 millones (56 millones de rand) de los saldos de los clientes.
Tras el descubrimiento de la violación, Postbank ahora tendrá que reemplazar todas las tarjetas de clientes que se han generado con la clave maestra. Una operación que el banco sospecha que le costaría más de mil millones de rands (aproximadamente 58 millones de dólares).
Reemplazo de tarjetas
Esto incluye reemplazar las tarjetas de pago normales, pero también las tarjetas para recibir beneficios sociales del gobierno. Sunday Times dijo que aproximadamente entre ocho y diez millones de las tarjetas están destinadas para recibir subvenciones sociales. Es precisamente aquí, donde se habían llevado a cabo la mayoría de las operaciones fraudulentas.
Según el informe, parece que los empleados corruptos han tenido acceso a la clave maestra de host (HMK) o claves de nivel inferior”. Esto según las afirmaciones del investigador de seguridad detrás de Bank Security, una cuenta de Twitter dedicada al fraude bancario.
“El HMK es la clave que protege todas las claves, que, en una arquitectura de mainframe, podrían acceder a los pines del cajero automático. Asimismo a códigos de acceso a la banca doméstica, datos de clientes, tarjetas de crédito, etc.”, dijo el investigador.
“El acceso a este tipo de datos depende de la arquitectura, los servidores y las configuraciones de la base de datos. Esta clave es utilizada por mainframes o servidores que tienen acceso a las diferentes aplicaciones internas y bases de datos con datos almacenados del cliente, como se mencionó anteriormente.
“La forma en que esta clave y todas las demás claves de nivel inferior se intercambian con sistemas de terceros tiene implementaciones diferentes que varían de un banco a otro”, dijo el investigador.
El incidente de Postbank es único, ya que las claves maestras del banco son el secreto más sensible de un banco. Se guardan en consecuencia, y rara vez se ven comprometidas, y mucho menos robadas.
Protección de la clave
“En general, según las mejores prácticas, la clave HMK se administra en servidores dedicados (con SO dedicado). Estas están altamente protegidas contra el acceso físico (acceso simultáneo de credenciales múltiples y centro de datos restringido/separado)”, según las afirmaciones de Bank Security
“Además, una sola persona no tiene acceso a la clave completa, sino que se divide entre varios gerentes o VIP confiables, y solo puede reconstruirse si todos son corruptos”.
“En general, las personas y la clave se cambian periódicamente con precisión para evitar este tipo de fraude o problema, como en el caso de PostBank”. “Hasta donde sé, la gestión de estas claves se deja a los bancos individuales. Los procesos internos que regulan el cambio periódico y la seguridad son decididos por el banco individual y no por una regulación definida”.
Intentamos contactar con Postbank para que hicieran comentarios sobre este incidente, pero no obtuvimos respuestas.
En febrero de 2020, el banco sudafricano Nedbank también informó de una violación de seguridad. El banco dijo que los hackers violaron a un proveedor de servicios externo y luego robaron información sobre más de 1.7 millones de sus clientes.